3.5 从不同角度开展恶意代码检测的选择

通过上面分析，可以基于不同的特征对象开展恶意代码检测。从研究者的角度思考，我们可以梳理出从不同角度开展研究的思路。

在开展恶意代码研究时，可以根据不同的角度选择对应的研究方法。按照不同角度开展恶意代码检测研究的方法可概括为如图3-5所示。具体划分如下：

（1）按照检测位置的不同，可分为：基于主机端的检测、基于服务器端的检测、基于云端的检测，即选择在主机端，或服务器端，或云端开展对恶意代码的分析与检测；

（2）按照检测环境的不同，可分为：基于虚拟机的检测、基于裸机环境的检测，即在虚拟机环境下，或裸机环境下实际运行恶意代码，捕获恶意代码的行为特征；

（3）按照检测对象的不同，可以分为：以程序为中心的检测（program-centric）、以系统为中心的检测（system-centric）。即选择不同的分析对象，以程序为中心的检测方式侧重于直接从程序本身提取特征开展研究，以系统为中心的检测则侧重于观测程序与操作系统之间的交互行为；

（4）按照获取特征的不同层次，可以分为：基于内核特征的检测、基于程序与OS交互行为特征的检测、基于程序运行行为特征的检测。这几种检测类型侧重于提取特征的不同类型，从内核到操作系统相关的信息，再到操作系统与程序之间的交互行为。